国防部副部长负责采购和保持的CISOKatie Arrington表示:“这也是国防部长新的一天的逐渐,正如大家这么多年来一直在说的那般,网络信息安全是收购的基本,我们都是用心的。”
Katie Arrington提到了将要执行的网络信息安全生命周期实体模型验证。实际上,伴随着新一代网络信息安全生命周期实体模型验证(CMMC)所受权的15份合同书的截至日期邻近,五角大楼层面确立表明,这只是是个逐渐,将来最少对1500家承包单位及承包商开展网络信息安全生命周期验证。
“信赖(承包单位),但也需要认证。”
有关标准将于2022年12月1日起对新的合同书宣布起效。而那么做的因素是充分考虑对于英国安全性薄弱环节的敌人会尝试进攻商业服务和国防互联网,以盗取商业秘密。而下面国防部长将强制性实行的新的网络信息安全合同书标准,会保证全部职工团队创建工作能力标准,与此同时严格执行美国家行业标准工艺研究室(NIST)与国防部长有关规范。因而,Katie Arrington觉得,这一措施针对英国的商业服务,国防安全尤为重要。
后面,她和队伍还将持续推动,并在数日内进行衔接,直到临时性标准起效。一旦临时性标准制订,便会紧密筹划做为示范点的15份合同书。这15份合同将逐渐向承包单位中间新的、可审查的网络信息安全变化。预估最少1500个承包单位和承包商参加新项目,且所有必须得到网络安全认证。
这种合同书将散播在不同服务项目单位,例如英国运送指挥所、互联网指挥所,涉及到导弹防御局等所说“第四级别”组织。合同书的金额与复杂性各有不同,试点工作方案在2021财政年度内开展。
特别注意的是,只需一家公司可以合乎一部分110 NIST规范条文,并声称将专注于遵循其他条文,就可以参加竞投。简单而言,便是在市场竞争国防部长合同书时,并不一定彻底证实所有的合规。
Arrinton强调,“CMMC设置了清晰的规范。财务审计后,公司要不处在L1级,要不不符合规定。”在事实上达到安全性工作能力需要的公司将有着公平公正的市场竞争起始点,而五角大楼还可以将安全性成本费立即列入合同书,无须担忧引进与合规规定发生冲突的经销商。
针对合规规范较高的主要合同书,CMMC标准还规定合同书內容确立特定各承包商是不是必须实现同样的合规水准,或是会按照不一样承包商所碰触信息内容的具体敏感性为其特定更准确的实际合规规定。
创建在验证基本上的全新升级网络信息安全体制,代表着五角大楼总算可以解决这些解决不了漏洞修复问题的企业,减少了供应链管理安全风险。
参照由来:breakingdefense